Sophos NGFW Cấu hình Object và Security Policy trên NGFW

Thanh Phương

Thanh Phương

Intern
Tiếp tục với Sophos Firewall (phiên bản v18 trở lên), việc cấu hình Object (Đối tượng) trước khi tạo Security Policy (Firewall Rule) là một "best practice" giúp bạn quản lý hệ thống mạng một cách khoa học, dễ mở rộng và bảo trì sau này.

Dưới đây là hướng dẫn chi tiết từng bước để hoàn thành task này.

PHẦN 1: Cấu hình Object (Đối tượng)​

Trong Sophos, bạn cần định nghĩa các thành phần mạng thành các Object trước. Khi có thay đổi (ví dụ: đổi IP của Server), bạn chỉ cần sửa Object đó, các Firewall Rule liên quan sẽ tự động cập nhật.

Vào mục Hosts and services để cấu hình các Object sau:

1. IP Host / IP Network Object (Tượng trưng cho Thiết bị/Đường truyền)​

  • Cách làm: Vào Hosts and services > IP host > Ấn Add.
  • Ví dụ tạo các Object phổ biến:
    • Web Server nội bộ: Name: Host_Web_Server | Type: IP | IP address: 192.168.1.100
    • Dải mạng LAN Kế toán: Name: Net_LAN_KeToan | Type: Network | IP address: 192.168.2.0 | Subnet: 255.255.255.0 (hoặc /24)

1781366278164.jpeg


1781366293361.png



2. MAC Host Object (Quản lý theo địa chỉ vật lý)​

Dùng khi bạn muốn chặn hoặc cho phép đích danh một thiết bị (như điện thoại sếp hoặc máy in) dù nó có bị thay đổi IP.

  • Cách làm: Vào Hosts and services > MAC host > Ấn Add.
  • Cấu hình: Name: MAC_May_In | MAC address: 00:11:22:AA:BB:CC.

1781366317066.png


3. Service Object (Định nghĩa Port dịch vụ)​

Mặc dù Sophos đã có sẵn các port thông dụng (HTTP, HTTPS, RDP...), nhưng nếu doanh nghiệp dùng port tùy chỉnh (ví dụ: Phần mềm nội bộ chạy port 8888), bạn phải tự tạo.

  • Cách làm: Vào Hosts and services > Services > Ấn Add.
  • Cấu hình: Name: Service_App_NoiBo | Type: TCP | Source port: 1:65535 | Destination port: 8888.
1781366343952.png



PHẦN 2: Cấu hình Security Policy (Firewall Rule)​

Sau khi đã có các Object, bạn tiến hành gom chúng lại vào các luật bảo mật. Vào Rules and policies > Firewall rules > Chọn Add firewall rule > New firewall rule.
Dưới đây là 2 kịch bản Security Policy thực tế:

Kịch bản A: Cho phép mạng LAN truy cập Internet (Đi kèm SNAT PAT)​

Luật này cho phép người dùng bên trong lướt web, làm việc.
  • Rule vị trí: Thường đặt ở giữa hoặc dưới (vì dải mạng rộng).
  • Rule nhóm (Group): LAN_to_WAN
  • Rule nhân viên:
    • Name: Allow_LAN_to_Internet
    • Action: Accept
  • Source:
    • Source zones: LAN
    • Source networks and devices: Chọn Object mạng LAN của bạn (hoặc Any).
  • Destination and services:
    • Destination zones: WAN
    • Destination networks: Any
    • Services: Any (Hoặc bóp lại chỉ cho HTTP, HTTPS, DNS nếu muốn siết chặt bảo mật).
1781366382927.png




Security features (Phần nâng cao của NGFW): Vì đây là tường lửa thế hệ mới, bạn nên bật:
  • Web filtering: Chọn Policy chặn web đen/mạng xã hội (ví dụ: Default Policy).
  • Application control: Chọn Policy chặn ứng dụng (ví dụ: Block Torrent/Game).
  • IPS: Chọn LAN-TO-WAN.
1781366396738.png



Kịch bản B: Cho phép bên ngoài truy cập Web Server nội bộ (Đi kèm DNAT)​

Luật này mở đường cho người dùng Internet đi qua Firewall để vào Server của bạn.
  • Rule vị trí: Đặt lên phía trên (Top) các rule LAN ra Internet.
  • Name: Allow_Internet_to_WebServer
  • Action: Accept
  • Source:
    • Source zones: WAN
    • Source networks and devices: Any (Để ai ngoài Internet cũng vào được).
  • Destination and services:
    • Destination zones: LAN (hoặc DMZ nơi bạn đặt Server).
    • Destination networks: Chọn đúng Object Host_Web_Server (IP Private: 192.168.1.100) mà bạn đã tạo ở Phần 1.
    • Services: Chọn port thực tế của Server (Ví dụ: HTTP hoặc HTTPS).
1781366446565.png



  • Security features:
    • IPS: Chọn WAN-TO-LAN hoặc Protect-Web-Server để chống tấn công khai thác lỗ hổng (Exploit, SQL Injection...)..
1781366460168.png


Các lưu ý sống còn khi làm Security Policy trên Sophos:​

  1. Thứ tự ưu tiên (Rule Order): Sophos đọc luật từ TRÊN XUỐNG DƯỚI. Gặp luật nào khớp trước nó sẽ thực thi ngay và bỏ qua các luật bên dưới. Vì vậy, rule nào chi tiết (đích danh IP, chặn cụ thể) phải kéo lên trên cùng. Rule nào chung chung (Cho phép Any) phải để dưới cùng.
  2. Khớp nối giữa Firewall Rule và NAT Rule:
    • Khi tạo Firewall Rule cho chiều từ ngoài vào (DNAT), mục Destination Network bắt buộc phải là IP Private (IP thật của Server) chứ không phải IP WAN Public. Tường lửa Sophos xử lý giải mã NAT trước khi so khớp Firewall Rule.
 
Bài viết liên quan
Thực hiện kiểm thử tính năng dự phòng NGFW bởi Thanh Phương,
Cấu hình dự phòng NGFW theo cơ chế: Active/Passive bởi Thanh Phương,
Cấu hình NAT trên NGFW: SNAT, DNAT bởi Thanh Phương,
Cấu hình Routing Static route, OSPF và Gateway trên thiết bị NGFW bởi Thanh Phương,
Cấu hình Backup và Restore cấu hình thiết bị bởi Thanh Phương,
Cài đặt các thành phần trong mô hình và cấu hình các thông tin cơ bản: hostname, DNS, NTP, LACP bởi Thanh Phương,
Được quan tâm
Cấu hình NAT trên NGFW: SNAT, DNAT bởi Thanh Phương,
Cấu hình Backup và Restore cấu hình thiết bị bởi Thanh Phương,
Cấu hình Routing Static route, OSPF và Gateway trên thiết bị NGFW bởi Thanh Phương,
Cài đặt các thành phần trong mô hình và cấu hình các thông tin cơ bản: hostname, DNS, NTP, LACP bởi Thanh Phương,
Thực hiện kiểm thử tính năng dự phòng NGFW bởi Thanh Phương,
Cấu hình dự phòng NGFW theo cơ chế: Active/Passive bởi Thanh Phương,
Bài viết mới
Thực hiện kiểm thử tính năng dự phòng NGFW bởi Thanh Phương,
Cấu hình dự phòng NGFW theo cơ chế: Active/Passive bởi Thanh Phương,
Cấu hình NAT trên NGFW: SNAT, DNAT bởi Thanh Phương,
Cấu hình Routing Static route, OSPF và Gateway trên thiết bị NGFW bởi Thanh Phương,
Cấu hình Backup và Restore cấu hình thiết bị bởi Thanh Phương,
Cài đặt các thành phần trong mô hình và cấu hình các thông tin cơ bản: hostname, DNS, NTP, LACP bởi Thanh Phương,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top